Leckerorder GmbH
Die nachfolgende Datenschutzerklärung gilt für die Nutzung der von der Leckerorder GmbH bereitgestellten Applikation (nachfolgend „App“) in ihrer jeweiligen Fassung als mobile Anwendung (iOS/Android) sowie als Web-Applikation. Der Schutz Ihrer personenbezogenen Daten ist uns ein besonderes Anliegen. Die Erhebung und Verarbeitung personenbezogener Daten erfolgt stets im Einklang mit den geltenden datenschutzrechtlichen Bestimmungen, insbesondere der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung, nachfolgend „DSGVO“) sowie dem Bundesdatenschutzgesetz (BDSG).
Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO für die in dieser Datenschutzerklärung beschriebene Datenverarbeitung ist:
Sofern Sie der Erhebung, Verarbeitung oder Nutzung Ihrer Daten nach Maßgabe dieser Datenschutzerklärung insgesamt oder für einzelne Maßnahmen widersprechen möchten, können Sie Ihren Widerspruch an die vorstehend genannte Adresse richten.
Diese Datenschutzerklärung kann jederzeit abgerufen, gespeichert und ausgedruckt werden.
Personenbezogene Daten werden im Rahmen des Betriebs der App und der hiermit verbundenen Dienstleistungen zu folgenden Zwecken verarbeitet:
Im Rahmen der Durchführung eines Bestellvorgangs werden folgende personenbezogene Daten erhoben und verarbeitet:
Beim Zugriff auf die App werden automatisiert folgende technische Daten erhoben:
Die vorgenannten Daten werden zu folgenden Zwecken verwendet:
Sämtliche statistische Auswertungen erfolgen ohne Zuordnung zu Ihrer Person.
Die Bereitstellung der unter Ziff. 3.1 genannten Daten (Name, Telefonnummer, ggf. Lieferadresse) ist zur Durchführung des Bestellvertrages vertraglich erforderlich. Ohne diese Angaben kann die Bestellung nicht entgegengenommen, bearbeitet oder zugestellt werden.
Die Angabe ergänzender Anmerkungen zur Bestellung (z. B. Sonderwünsche, Lieferhinweise) ist freiwillig. Die Nichtbereitstellung hat keine nachteiligen Folgen für den Vertragsschluss, kann jedoch die Zustellung erschweren.
Die Erteilung einer Einwilligung für Push-Benachrichtigungen, Standortfreigabe oder den Empfang werblicher Mitteilungen ist vollständig freiwillig und keine Voraussetzung für die Nutzung der App oder die Durchführung von Bestellungen.
Für die Abwicklung von Zahlungsvorgängen innerhalb der App werden verschiedene Zahlungsdienstleister eingesetzt. Die Verfügbarkeit der jeweiligen Zahlungsarten kann je nach Restaurant variieren.
Die Abwicklung von Kartenzahlungen erfolgt über den Zahlungsdienstleister Stripe Payments Europe, Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland (nachfolgend „Stripe“).
Bei Durchführung einer Kartenzahlung werden die hierfür erforderlichen Daten unmittelbar an Stripe übermittelt. Dies umfasst insbesondere:
Stripe fungiert hinsichtlich der Transaktionsabwicklung als Auftragsverarbeiter gemäß Art. 28 DSGVO. Für Zwecke der Betrugserkennung sowie zur Erfüllung eigener gesetzlicher Verpflichtungen (insbesondere im Bereich der Geldwäscheprävention) ist Stripe darüber hinaus eigenständig datenschutzrechtlich verantwortlich. Kartendaten werden durch Stripe mittels AES-256 verschlüsselt. Stripe verfügt über eine PCI-DSS Level 1 Zertifizierung.
Stripe ist unter dem EU-U.S. Data Privacy Framework (DPF) zertifiziert. Nähere Informationen zum Datenschutz bei Stripe sind abrufbar unter: stripe.com/de/privacy
Die App ermöglicht die Nutzung von Apple Pay (Apple Distribution International Ltd., Hollyhill Industrial Estate, Cork, Irland). Bei Verwendung von Apple Pay wird die tatsächliche Kartennummer weder auf dem Endgerät noch auf Servern von Apple gespeichert. Stattdessen wird eine gerätebezogene Kontonummer (Device Account Number) vergeben und im Secure Element des Endgeräts verschlüsselt abgelegt. Für jede Transaktion wird ein einmaliger dynamischer Sicherheitscode erzeugt (Tokenisierung).
Die eigentliche Zahlungsabwicklung erfolgt über Stripe (vgl. Ziff. 4.1). Der Verantwortliche erhält zu keinem Zeitpunkt die vollständige Kartennummer des Nutzers.
Ferner besteht die Möglichkeit, Zahlungen mittels Google Pay (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland) vorzunehmen. Google Pay verwendet ein vergleichbares Tokenisierungsverfahren: Anstelle der tatsächlichen Kartennummer wird eine virtuelle Kontonummer in Verbindung mit einem transaktionsspezifischen Kryptogramm eingesetzt.
Die eigentliche Zahlungsabwicklung erfolgt über Stripe (vgl. Ziff. 4.1). Google LLC ist unter dem EU-U.S. Data Privacy Framework zertifiziert.
Sofern durch das jeweilige Restaurant angeboten, können Zahlungen über PayPal abgewickelt werden. Betreiber des Zahlungsdienstes ist die PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxembourg.
Bei Auswahl von PayPal als Zahlungsmethode erfolgt eine Weiterleitung an PayPal zur Durchführung des Zahlungsvorgangs. PayPal erhält in diesem Zusammenhang folgende Daten:
PayPal ist hinsichtlich der Verarbeitung der Zahlungsdaten eigenständig datenschutzrechtlich verantwortlich im Sinne von Art. 4 Nr. 7 DSGVO und somit kein Auftragsverarbeiter. Die Datenschutzerklärung von PayPal ist abrufbar unter: paypal.com/de/privacy
PayPal verfügt derzeit über keine Zertifizierung unter dem EU-U.S. Data Privacy Framework. Die Übermittlung personenbezogener Daten in die USA stützt sich auf Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c) DSGVO sowie auf von der luxemburgischen Datenschutzaufsichtsbehörde (CNPD) genehmigte verbindliche interne Datenschutzvorschriften (Binding Corporate Rules) gemäß Art. 47 DSGVO. Trotz dieser Schutzmaßnahmen kann ein Restrisiko hinsichtlich des Schutzes Ihrer Daten aufgrund der Rechtslage in den USA nicht vollständig ausgeschlossen werden.
Für einzelne Restaurants kann die Zahlungsabwicklung über den Zahlungsdienstleister MultiSafepay B.V., Kraanspoor 39, 1033 SC Amsterdam, Niederlande (nachfolgend „MultiSafepay“), erfolgen. MultiSafepay ist ein von der De Nederlandsche Bank (DNB) lizenziertes Zahlungsinstitut mit Sitz in der Europäischen Union.
Bei Nutzung von MultiSafepay werden Sie zur Durchführung der Zahlung auf eine von MultiSafepay gehostete Zahlungsseite weitergeleitet. In diesem Zusammenhang werden folgende Daten an MultiSafepay übermittelt:
Die Eingabe der Zahlungsdaten (Kreditkartendaten bzw. PayPal-Zugangsdaten) erfolgt ausschließlich auf der Zahlungsseite von MultiSafepay. Der Verantwortliche erhält zu keinem Zeitpunkt Zugang zu diesen Zahlungsdaten.
MultiSafepay fungiert hinsichtlich der Transaktionsabwicklung als Auftragsverarbeiter gemäß Art. 28 DSGVO. Da MultiSafepay seinen Sitz in den Niederlanden hat, findet keine Datenübermittlung in ein Drittland statt. Nähere Informationen zum Datenschutz bei MultiSafepay sind abrufbar unter: multisafepay.com/privacy-policy
Bei Wahl der Barzahlung werden keine über die in § 3 genannten Bestelldaten hinausgehenden personenbezogenen Daten erhoben.
Für die Übermittlung von Push-Benachrichtigungen (insbesondere Bestellstatus-Aktualisierungen) wird der Dienst Firebase Cloud Messaging (FCM) der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland, eingesetzt.
Im Falle der Aktivierung von Push-Benachrichtigungen durch den Nutzer wird ein pseudonymer Geräte-Token (Registration Token) erzeugt und an unsere Server übermittelt. In diesem Zusammenhang werden folgende Daten verarbeitet:
Google fungiert in Bezug auf diesen Dienst als Auftragsverarbeiter gemäß Art. 28 DSGVO. Google LLC ist unter dem EU-U.S. Data Privacy Framework zertifiziert und verwendet ergänzend Standardvertragsklauseln.
Die Aktivierung von Push-Benachrichtigungen kann jederzeit über die Geräteeinstellungen des Endgeräts widerrufen werden.
Die App bietet die optionale Möglichkeit, den aktuellen Standort des Endgeräts zur Ermittlung der Lieferadresse heranzuziehen. Der Zugriff auf die Standortdaten erfolgt ausschließlich nach aktiver Auswahl der entsprechenden Funktion durch den Nutzer sowie nach Erteilung der Standortfreigabe auf dem Endgerät. Eine fortlaufende Erfassung des Standorts (Tracking) findet nicht statt.
Zur Unterstützung der Adresseingabe (Autovervollständigung) sowie zur Geokodierung von Lieferadressen werden die Dienste Google Maps Platform und Google Places API der Google Ireland Limited eingesetzt.
Bei Nutzung dieser Dienste werden folgende Daten an Google übermittelt:
Google LLC ist unter dem EU-U.S. Data Privacy Framework zertifiziert. Nähere Informationen sind abrufbar unter: policies.google.com/privacy
Die App einschließlich der zugehörigen Backend-Systeme wird auf Servern von Amazon Web Services (AWS) betrieben, einem Dienst der Amazon Web Services EMEA SARL, 38 Avenue John F. Kennedy, L-1855 Luxembourg.
Die eingesetzten Server befinden sich in der EU-Region Frankfurt am Main (eu-central-1). Sämtliche Nutzer- und Bestelldaten werden ausschließlich innerhalb der Europäischen Union gespeichert und verarbeitet.
AWS fungiert im Rahmen des Hostings als Auftragsverarbeiter gemäß Art. 28 DSGVO.
Zur Sicherstellung der Stabilität der App sowie zur Identifizierung und Behebung technischer Fehler wird die Open-Source-Software Sentry eingesetzt. Die Sentry-Instanz wird von uns selbst betrieben (Self-Hosting) und auf unserer eigenen Infrastruktur innerhalb der Europäischen Union gehostet. Eine Übermittlung von Daten an Dritte oder in Drittländer findet in diesem Zusammenhang nicht statt.
Im Falle eines technischen Fehlers werden folgende Daten erfasst:
Die Übermittlung von IP-Adressen ist deaktiviert.
Zur Analyse des Nutzungsverhaltens und zur Verbesserung der App wird die Open-Source-Analysesoftware Matomo (ehemals Piwik) eingesetzt. Die Matomo-Instanz wird von uns selbst betrieben (Self-Hosting) auf unserer eigenen Infrastruktur innerhalb der Europäischen Union. Eine Übermittlung von Analysedaten an Dritte findet nicht statt.
Matomo wird im cookielosen Modus betrieben. Es werden keine Cookies auf dem Endgerät des Nutzers gesetzt. Die Wiedererkennung von Nutzern über mehrere Sitzungen hinweg findet nicht statt.
Im Rahmen der Webanalyse werden folgende Daten verarbeitet:
Da Matomo vollständig auf unserer eigenen Infrastruktur betrieben wird und keine Cookies gesetzt werden, werden keine personenbezogenen Daten an Dritte übermittelt. Sämtliche Analysedaten verbleiben auf unseren Servern innerhalb der Europäischen Union.
Beim erstmaligen Start der App besteht die Möglichkeit, die Zustimmung zum Empfang von Benachrichtigungen über Angebote des jeweiligen Restaurants zu erteilen (sog. Opt-in). In diesem Fall wird der Push-Notification-Token des Endgeräts zur Übermittlung der Angebotsinformationen verwendet.
Die erteilte Einwilligung kann jederzeit widerrufen werden, indem Push-Benachrichtigungen in den Geräteeinstellungen deaktiviert werden oder eine entsprechende Mitteilung an die unter § 1 genannten Kontaktdaten übersandt wird.
Personenbezogene Daten werden grundsätzlich nur innerhalb unseres Unternehmens sowie an das jeweilige Restaurant, bei dem der Nutzer eine Bestellung aufgibt, weitergegeben. Das Restaurant ist nach Erhalt der Bestelldaten (Name, Telefonnummer, ggf. Lieferadresse, bestellte Speisen) für die weitere Verarbeitung dieser Daten im Rahmen der Bestellabwicklung als eigenständiger Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO zuständig. Für die Datenverarbeitung durch das Restaurant gelten dessen eigene datenschutzrechtliche Bestimmungen.
Darüber hinaus erfolgt eine Übermittlung an folgende Empfänger, soweit dies zur Erbringung der vertraglichen Leistung oder zur Wahrung berechtigter Interessen erforderlich ist:
| Empfänger | Zweck | Datenschutzrechtliche Rolle |
|---|---|---|
| Stripe Payments Europe, Ltd. | Zahlungsabwicklung | Auftragsverarbeiter / teilw. eigenst. Verantwortlicher |
| PayPal (Europe) S.à r.l. et Cie, S.C.A. | Zahlungsabwicklung | Eigenständiger Verantwortlicher |
| Google Ireland Ltd. / Google LLC | Push-Benachrichtigungen, Kartendienste | Auftragsverarbeiter (FCM) / Verantwortlicher (Maps) |
| MultiSafepay B.V. | Zahlungsabwicklung | Auftragsverarbeiter |
| Amazon Web Services EMEA SARL | Hosting, Datenspeicherung | Auftragsverarbeiter |
Einzelne der vorstehend genannten Dienstleister haben ihren Sitz in den Vereinigten Staaten von Amerika. Für die Übermittlung personenbezogener Daten in dieses Drittland gelten folgende Garantien gemäß Art. 44 ff. DSGVO:
| Dienstleister | EU-U.S. Data Privacy Framework | Standardvertragsklauseln |
|---|---|---|
| Stripe, Inc. | Zertifiziert | Ja |
| Google LLC | Zertifiziert | Ja |
| PayPal | Nicht zertifiziert | Ja |
Das EU-U.S. Data Privacy Framework (DPF) beruht auf dem Angemessenheitsbeschluss der Europäischen Kommission vom 10. Juli 2023 gemäß Art. 45 DSGVO, der für zertifizierte US-Unternehmen ein angemessenes Datenschutzniveau bestätigt. Soweit ein Dienstleister nicht unter dem DPF zertifiziert ist, stützt sich die Datenübermittlung auf Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c) DSGVO.
Soweit Dienstleister als Auftragsverarbeiter eingesetzt werden, wurden mit diesen Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO geschlossen. Diese gewährleisten, dass die Verarbeitung personenbezogener Daten ausschließlich im Einklang mit den Vorgaben der DSGVO erfolgt.
Die Auftragsverarbeiter sind insbesondere vertraglich verpflichtet:
Personenbezogene Daten werden nur so lange gespeichert, wie dies für die Erfüllung des jeweiligen Verarbeitungszwecks erforderlich ist oder gesetzliche Aufbewahrungspflichten eine längere Speicherung erfordern:
Nach Ablauf der jeweiligen Aufbewahrungsfristen werden die Daten gelöscht oder irreversibel anonymisiert.
Als von der Datenverarbeitung betroffene Person stehen Ihnen die nachfolgend aufgeführten Rechte zu. Zur Ausübung dieser Rechte richten Sie Ihre Anfrage bitte unter eindeutiger Identifizierung Ihrer Person an die unter § 1 genannte Adresse.
Sie haben das Recht, Auskunft über die zu Ihrer Person verarbeiteten personenbezogenen Daten zu verlangen sowie eine Kopie dieser Daten zu erhalten.
Sie haben das Recht, unverzüglich die Berichtigung unrichtiger oder die Vervollständigung unvollständiger personenbezogener Daten zu verlangen.
Sie haben das Recht, die Löschung der Sie betreffenden personenbezogenen Daten zu verlangen, sofern die Voraussetzungen des Art. 17 DSGVO vorliegen und keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Unter den Voraussetzungen des Art. 18 DSGVO können Sie die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten verlangen.
Sie haben das Recht, die Sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder deren Übermittlung an einen anderen Verantwortlichen zu verlangen.
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten, die auf Grundlage von Art. 6 Abs. 1 lit. f) DSGVO erfolgt, Widerspruch einzulegen. Der Verantwortliche verarbeitet die Daten sodann nicht mehr, es sei denn, es werden zwingende schutzwürdige Gründe nachgewiesen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen.
Soweit die Verarbeitung auf einer erteilten Einwilligung beruht, kann diese jederzeit mit Wirkung für die Zukunft widerrufen werden. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt hiervon unberührt.
Eine ausschließlich auf automatisierter Verarbeitung beruhende Entscheidungsfindung einschließlich Profiling gemäß Art. 22 DSGVO findet nicht statt.
Unbeschadet anderweitiger Rechtsbehelfe steht Ihnen das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde zu. Die für den Verantwortlichen zuständige Aufsichtsbehörde ist:
Der Verantwortliche trifft angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO, um personenbezogene Daten gegen zufällige oder vorsätzliche Manipulation, Verlust, Zerstörung oder den Zugriff unberechtigter Personen zu schützen. Die getroffenen Sicherheitsmaßnahmen umfassen insbesondere:
Es wird darauf hingewiesen, dass die Übertragung von Daten im Internet (etwa bei der Kommunikation per E-Mail) Sicherheitslücken aufweisen kann. Ein lückenloser Schutz personenbezogener Daten vor dem Zugriff Dritter ist technisch nicht möglich.
Diese Datenschutzerklärung bezieht sich ausschließlich auf die Datenverarbeitung im Rahmen der App des Verantwortlichen. Für die Datenverarbeitung durch Dritte (insbesondere Zahlungsdienstleister, Restaurants und sonstige verlinkte externe Dienste) gelten deren jeweils eigene Datenschutzerklärungen, für deren Inhalt der Verantwortliche nicht verantwortlich ist.
Der Verantwortliche behält sich vor, diese Datenschutzerklärung bei Änderungen der Rechtslage, der angebotenen Dienste oder der Art der Datenverarbeitung anzupassen. Die jeweils aktuelle Fassung ist jederzeit in der App sowie auf der Webseite des Verantwortlichen abrufbar.